comdirect

ChrisM85 · ‎17.01.2019

Ich muss hier mal meinen Frust über das neue, aufgezwungene photoTAN Verfahren los werden.

Dieses Verfahren ist meiner Meinung nach der größte Mist, den comdirect bislang verzapft hat.

Jetzt muss ich nicht nur mein Smartphone immer zur Hand haben, wenn ich Bankgeschäfte tätige, sondern auch noch die App starten... ein Passwort eingeben, zusehen dass das Bild scharf wird, die Nummer übertragen etc.... viel umständlicher geht's kaum.

Wenn ich Bankgeschäfte erledige, sitze ich in meinem Arbeitszimmer am Schreibtisch... die TAN-Liste habe/hatte ich in meiner obersten abschließbaren Schublade, wo auch meine Zugangsdaten und andere wichtige Dokumente liegen. Bei einer Überweisung war es ein kurzer Griff, Nummer abgetippt und fertig.

Jetzt muss ich meistens erst aufstehen, mein Smartphone aus meiner Jackentasche, dem Wohnzimmertisch oder dem Esszimmer holen... super nervig.

Wenn das iTAN Verfahren nicht so verdammt teuer wäre, würde ich es ja weiter nutzen... aber 0,09 Euro !? Das sind 10,80 Euro pro iTAN Liste... gehts noch?! Werden die vom Vorstand per Hand gefaltet und verpackt oder wie kommt der Preis zu stande?

Jedenfalls finde ich das Ganze sehr ärgerlich. Ich überlege tatsächlich deswegen die Bank zu wechseln oder zumindest meine Hauptgeschäfte zu verlegen.

Würde mich mal interessieren, was der Rest der Leute hier so denkt.

Gruß

Chris

Elbblick · ‎30.01.2019

@gunti schrieb:

Adrotden oder auch angebissene Äpfel die sich code von meinen Freien Pinguin klauen kommen seit Jahren nicht ins Haus.

Wenn Du funktionierende und praktikable Lösungen aus idiologischen Gründen ablehnst, ist Dir hier wohl nicht zu helfen. Mich wundert dann aber, dass Du noch bei der Comdirect bist. Immerhin gehören die der Commerzbank, die wiederum zu den bösen Großbanken gehört.

Frnk · ‎30.01.2019

Noch schlimmer: große böse Staatsbank.

gunti · ‎30.01.2019

Na Sooo Groß ist die Comerzbank ja auch nicht 🙂

Zu Mindestens kann ich mich noch an einen gewissen Rettungsschirm erinnern.

Und wegen der Ideologie, da müssten die Apfeljünger mal fragen. Da sinnt das auch schon religiöse Ansichten.

Simpel der Pinguin funktioniert einfach gut.

Das merken ja sogar die Apfelentwicker und Borgen sich mal diese mal jene Zeile Code.

Genaueres findest du bei Wiki.

( Speziell KDE)

Elbblick · ‎30.01.2019

@gunti schrieb:

Genaueres findest du bei Wiki.
( Speziell KDE)

Das interessiert mich eherlich gesagt nicht die Bohne. Ich nutze DOS seit 2.0 und Windows seit 3.0/3.11 und habe damit keine Berührungsängste. Ich nutze meine Zeit anders, als mit dem Kampf gegen Windmühlen. Aber jeden das seine.

baha · ‎30.01.2019

Genauso wie Microsoft sich mal Code bei Linux abschaut, liefern sie aber auch Code für Linux. Die Welt ist nicht schwarz-weiß.

Aber was weiß ich schon...

kammann · ‎30.01.2019

@gunti schrieb:
Naja man hätte ja auch ein Verfahren anwenden können.( CipTAN)
Jezt muss man wieder mit 3 bis vier verschiedenen Geräten vorm Rechner sitzen.
Jede Bank macht wieder ihren eigenen Mist.
Oder gibt es doch irgendwo von einer zuverlässigen Fa.(z.B. Reiner) Lesegeräte die für alle Verfahren gehen??

ChipTAN ist ein standardisiertes Verfahren, dessen Spezifikation z.B. hier https://www.hbci-zka.de/dokumente/spezifikation_deutsch/hhd/Belegungsrichtlinien%20TANve1.5%20FV%20v... offengelegt ist. Daher gibt es auch mehrere Hersteller von ChipTAN Generatoren und wettbewerbsorientierte Preise für die Geräte. Wer also Kunde bei Sparkasse und einer Volksbank ist, braucht nur einen Generator.

PhotoTAN ist hingegen ein proprietäres Verfahren einer VASCO Data Security Inc aus den USA, dessen genaue Funktionsweise nicht offengelegt ist. Folglich gibt es auch nur einen Hersteller für PhotoTAN Generatoren mit entsprechend hohem Preis (die Deutsche Bank verlangt €14,90 und comdirect €25,00 für den Generator- beide Preise dürften bereits subventioniert sein). Zum Schutz seines Monopols sorgt der Hersteller mit sog. Brandings dafür, dass Kunden unterschiedlicher Banken die Hardware wiederverwenden können - wer also PhotoTAN bei der Deutschen Bank und der comdirect nutzen will, braucht 2 Tan-Generatoren desselben Herstellers.

Aus kryptografischer Sicht funktionieren beide TAN-Verfahren ähnlich, die Bank sendet zur Freigabe eine Anfrage („Challenge“) und der Tan-Generator schickt eine Antwort („Response“) die mittels eines Geheimnisses („Secret“) berechnet wird.

Beim ChipTAN Verfahren besteht die Sicherheit darin, dass das „Geheimnis“ auf der Chipkarte nicht auslesbar ist und zudem die Chipkarte als Zahlkarte (Girocard) fest mit einem Konto verknüpft ist.

Beim PhotoTAN wir dieses Geheimnis erst bei Freischaltung durch den Kunden an den Tan-Generator übermittelt. Da die PhotoTAN auch per App generiert werden kann, besteht ein Risiko wenn a) die Übermittlung des Codes für die Einrichtung abgefangen wird oder b) wenn nach Einrichtung das in der App gespeicherte Geheimnis kopiert werden kann. Codi beteuert zwar, dass dies nicht geschehen kann – nachprüfbar ist das nicht. Android und iOS haben zwar einen gewissen Schutz gegen unberechtigtes Auslesen von Daten, aber weder Google noch Apple geben hierfür Garantien ab. Wohl aus gutem Grund, denn die Schutzmechanismen sind kryptografisch wenig belastbar – von individuelle Signaturen von Apps oder Speicherbereichen habe ich jedenfalls noch nichts gelesen, d.h. es wird lediglich über irgenwelche IDs sichergestellt, dass nicht eine Fremd-App mit der PhotoTAN App kommuniziert.

Und die Comdirect? Die windet sich – auf der Webseite und hier im Forum wird ein „Sicherheitsversprechen“ propagiert, das sich aber weder in den rechtlichen relevanten AGBs wiederfindet noch im Ernstfall belastbar sein dürfte, denn dieses fordert natürlich ein, dass man „Zugangsdaten oder TANs nicht anderen zugänglich macht“ – dies z.B. im Falle eines „geklonten“ oder auch nur einfach gestohlenen Smartphones nachzuweisen, dürfte für den betroffenen Kunden sehr schwer sein.

Elbblick · ‎30.01.2019

Was willst Du uns mit der Textwüste denn jetzt sagen? Das Photo-TAN böse ist weil der Hersteller seine Betriebsgeheimnisse nicht offenlegt? Wie viele belegbare und erfolgreiche Angriffe hat es bisher auf das Phonto-TAN Verfahren gegeben?

Was passiert wenn der ChipTAN-Generator in falsche Hände gerät? Hat der auch eine PIN wie mein Smartphone mit der ich ihn vor unbefugter Benutzung schützen kann?

baha · ‎30.01.2019

@Elbblick

Ein ChipTAN-Generator ist ohne passende Bankkarte vollkommen wertlos.

Elbblick · ‎30.01.2019

Dass Bankkarten wegkommen, kommt gar nicht so selten vor.

Dem Bundeskriminalamt wurden für das Jahr 2017 rund 22.000 Betrugsfälle mit EC-Karten gemeldet, bei denen die Kriminellen die korrekte Geheimnummer eingesetzt hatten. Statistisch gesehen entspricht das etwa 60 Fällen pro Tag.

https://www.ndr.de/ratgeber/verbraucher/Neue-Masche-beim-Betrug-mit-EC-Karten,eckarten108.html

Wobei ich bei dem Ausdruck "Betrug" immer ein wenig skeptisch bin, in den meisten Fällen dürfte es sich um Dusseligkeit handeln, von den in dem Artikel beschreibenen Verfahren einmal abgesehen.

Necoro · ‎30.01.2019

@Elbblick schrieb:
Was willst Du uns mit der Textwüste denn jetzt sagen? Das Photo-TAN böse ist weil der Hersteller seine Betriebsgeheimnisse nicht offenlegt?

Prinzipiell ja. Die Gleichung ist einfach: Wäre das kryptographisch sinnvoll, ist bei einer Offenlegung nichts zu befürchten. Kryptographische Algorithmen hält man dann unter Verschluss, wenn man davon ausgeht, dass sie bei näherer Betrachtung nix taugen.

Wie viele belegbare und erfolgreiche Angriffe hat es bisher auf das Phonto-TAN Verfahren gegeben?

Das ist in meinen Augen die falsche Argumentation. Es ist sicherzustellen, dass es (nach dem jeweiligen Kenntnisstand) keine (auch theoretischen) Angriffe gibt. Sobald es wirklich Angriffe in der Praxis gibt, ist das Kind in den Brunnen gefallen: Zum einen sind IT-Angriffe in der Regel immer einfach zu vervielfältigen (kannst du ein Ziel angreifen, kannst du auch 1000 Ziele angreifen) und zum anderen ist solch Infrastruktur selten auf Knopfdruck umstellbar. Und in der Zeit hat man dann ein Problem.

Zu guter Letzt: Die wenigsten von uns (ich auch nicht) werden sich in den Untiefen des Darknets rumtreiben und wissen, was es alles an Angriffen gibt, von denen man schlicht nur noch nix mitbekommen hat.

comdirect

Meine Meinung zu photoTan